Вы сами решаете, какие части (контроллеры, методы) вашего приложения требуют наличия контекста безопасности пользователя, а какие нет. Если запрос приходит к методу, который отказывается обрабатывать его (отвечает 401), поскольку он требует аутентифицированных пользователей, OWIN (или промежуточное программное обеспечение аутентификации) активирует и инициирует аутентификацию для B2 C. Если метод отвечает 200, аутентификация не будет инициирована. Если вы используете AuthorizeAttribute для предотвращения доступа к контроллерам / методам неаутентифицированными / неавторизованными пользователями, либо удалите этот атрибут из контроллеров, которым вы хотите разрешить анонимный доступ, либо используйте [AnonymousAllowed] в отдельных методах, если контроллер иначе требует аутентификации.